Rhoi gwybod am fregusrwydd ar system Llywodraeth Cymru

Mae Llywodraeth Cymru, mewn cydweithrediad â'r Ganolfan Seiberddiogelwch Genedlaethol (NCSC), yn gweithredu Rhaglen Datgelu Bregusrwydd (VDP). Mae ein polisi datgelu yn berthnasol i unigolion a sefydliadau sy'n rhoi gwybod am wendidau diogelwch i Lywodraeth Cymru, ar HackerOne.

Mae'r polisi datgelu hwn yn berthnasol i unigolion a sefydliadau sy'n rhoi gwybod am wendidau diogelwch i Lywodraeth Cymru. Darllenwch y polisi yn llawn cyn rhoi gwybod am fregusrwydd.

Ymgynghorwch â'r cwmpas diffiniedig i sicrhau bod unrhyw fregusrwydd a adroddir yn berthnasol ac wedi'i gyfeirio at y sefydliad priodol.

Mae Llywodraeth Cymru yn cydnabod adroddiadau am wendidau diogelwch a gyflwynir yn unol â'r polisi hwn. Fel corff sector cyhoeddus, nid yw Llywodraeth Cymru yn darparu cymhellion ariannol neu gyfwerth ar gyfer adrodd am wendidau diogelwch. Ni ddylid gwneud ceisiadau am iawndal ariannol.

Adrodd am fregusrwydd ar HackerOne.

Manylion

Yn eich adroddiad bregusrwydd, mae angen cynnwys:

• y wefan, IP, neu dudalen we lle gellir gweld y bregusrwydd
• disgrifiad byr o'r math o fregusrwydd, er enghraifft, 'bregusrwydd XSS'
• camau i atgynhyrchu'r bregusrwydd. Dylai'r rhain fod yn brawf anfygythiol, nad yw'n ddinistriol, o gysyniadau

Beth fydd yn digwydd nesaf

Ar ôl i'ch adroddiad gael ei gyflwyno, byddwn yn ymateb o fewn 5 diwrnod gwaith ac yn anelu at ei frysbennu o fewn 10 diwrnod gwaith. Byddaf yn rhoi’r diweddaraf ichi am y cynnydd i’r perwyl hwn.

Caiff blaenoriaethu o ran adfer ei bennu gan effaith, brys a chymhlethdod y camddefnydd. Gall adroddiadau bregusrwydd gymryd amser i'w prosesu;  cewch holi am eu statws, ond cyfyngwch geisiadau i unwaith bob 7 diwrnod. Mae hyn yn caniatáu i'n timau ganolbwyntio ar yr adfer.

Gwaith adfer

Byddwn yn eich hysbysu pan fydd y bregusrwydd a adroddwyd yn cael ei adfer, ac efallai y cewch eich gwahodd i gadarnhau bod yr ateb yn cwmpasu'r bregusrwydd yn ddigonol.

Byddwn yn gwneud pob ymdrech i ddarparu adborth perthnasol ar broffiliau defnyddwyr HackerOne i gydnabod eich cyfraniadau yn briodol.

Caiff Rhaglen Datgelu Bregusrwydd Llywodraeth Cymru ei rheoli gan Ganolfan Gweithrediadau Seiberddiogelwch (CSOC) Llywodraeth Cymru. Mae'r CSOC yn rheoli asesu a chyfathrebu gwendidau diogelwch o fewn y sefydliad.

Nid oes gan y CSOC awdurdod dros sefydliadau sector cyhoeddus eraill y llywodraeth.

Sylwch fod yr adroddiadau isod y tu allan i gwmpas y VDP hwn:

• adroddiadau sy'n manylu ar fregusrwydd na ellir eu hecsbloetio
• adroddiadau sy'n nodi nad yw'r gwasanaethau yn cyd-fynd yn llawn ag 'arfer gorau,' er enghraifft, penawdau diogelwch coll

I gyflwyno'ch adroddiad, bydd angen mynediad i borth HackerOne arnoch. Bydd gofyn i chi gytuno â’r Telerau ac amodau a chydnabod eich bod wedi darllen eu polisi preifatrwydd (ar HackerOne) a'u canllawiau datgelu (ar HackerOne).

Ni ddylech:

• dorri unrhyw gyfraith neu reoliadau
• cyrchu symiau diangen neu sylweddol o ddata
• newid data system neu wasanaeth
• addasu ein systemau neu wasanaethau mewn unrhyw ffordd
• addasu Gwefan Llywodraeth Cymru (difwyno)
• defnyddio offer sganio ymledol neu ddinistriol dwysedd uchel i ddod o hyd i fregusrwydd
• ceisio unrhyw fath o wrthod gwasanaeth, er enghraifft, llethu gwasanaeth gyda nifer uchel o geisiadau
• tarfu ar Lywodraeth Cymru
• cyfathrebu unrhyw wendidau neu fanylion cysylltiedig trwy ddulliau eraill heblaw am borth HackerOne
• teilwra Cymdeithasol, 'phish' neu ymosod yn gorfforol ar staff neu seilwaith y sefydliad
• gofyn am iawndal ariannol, er mwyn datgelu unrhyw fregusrwydd

Rhaid i chi:

• Gydymffurfio â deddfwriaeth diogelu data bob amser a rhaid iddi beidio â tharfu ar breifatrwydd defnyddwyr, staff, contractwyr, gwasanaethau neu systemau'r sefydliad. Rhaid i chi beidio â rhannu, ailddosbarthu neu fethu â diogelu gwybodaeth a gafwyd o'r systemau neu'r gwasanaethau yn iawn.
• Dileu'r holl ddata a gafwyd yn ystod eich ymchwil yn ddiogel cyn gynted ag nad oes ei angen mwyach neu o fewn 1 mis i ddatrys y bregusrwydd, p’un bynnag sy'n digwydd gyntaf (neu fel sy'n ofynnol gan y gyfraith diogelu data).

Mae'r polisi hwn yn cyd-fynd ag arferion datgelu bregusrwydd a dderbynnir yn gyffredinol. Nid yw'n awdurdodi camau sy'n mynd yn groes i'r gyfraith neu'n arwain at dorri rhwymedigaethau cyfreithiol i chi, eich sefydliad, neu sefydliadau partner.

Er enghraifft, ni chaniateir gweithgareddau a waherddir gan Ddeddf Camddefnyddio Cyfrifiaduron 1990, Deddf Pwerau Ymchwilio 2016, neu gyfreithiau camddefnyddio cyfrifiaduron cymwys yn eich gwlad breswyl.

Os bydd trydydd parti yn dechrau achos cyfreithiol yn eich erbyn, a bod eich gweithredoedd yn unol â'r polisi hwn, efallai y byddwn yn cymryd camau i egluro bod eich ymddygiad yn gyson â'r canllawiau sefydledig.